carrot carrot carrot Change Centers x cognizanti collaborators create-folder Data Science Decisive Infrastructure download download edit Email exit Facebook files folders future-of-work global sourcing industry info infographic linkedin location Mass Empowerment Mobile First our-latest-thinking pdf question-mark icon_rss save-article search-article search-folders settings icon_share smart-search Smart Sourcing icon_star Twitter Value Webs Virtual Capital workplace Artboard 1

GDPR :
travaux
pratiques

Un texte en trompe-l’œil

ACCÉDEZ AU PROGRAMMECONTACTEZ-NOUS

LA GDPR, UN TEXTE EN TROMPE-L’ŒIL


Visible

De prime abord, les 99 articles de la GDPR semblent, pour un texte de loi, relativement concis et plutôt lisibles. Et la cascade d’articles parus cet automne (avec des titres accrocheurs de type « Les 10 points à retenir » ou « GDPR, ce qui change vraiment »), renforce cette impression. 

Invisible

C’est seulement en entrant dans le vif du sujet que l’on peut en évaluer la complexité. Un exemple avec le concept de « raisonnable » ou « raisonnablement », qui revient dans le règlement à… 18 reprises. Que répondrez-vous à vos collègues, lorsqu’ils vous demanderont ce que signifie en pratique et pour l’IT un « délai raisonnable » ?

Vue d’ensemble 

La GDPR, transverse, sollicite des compétences complémentaires : juridique, sécurité, métiers, IT…. Pour  la mettre en application, vous en passerez par un travail de collaboration parfois inédit dans l’entreprise. Il y a là sans doute une occasion de transformer une nouvelle contrainte réglementaire en opportunités.

Echange de points de vue 

Cognizant organise un cycle de 5 petits-déjeuners entre pairs (DPO, CDO, directeurs Marketing et CRM, RSSI, DSI, Juridique…) pour mettre en avant les bonnes questions et avancer dans l’adoption du règlement, en compagnie d’une consultante spécialisée et sous l’œil vigilant d’une avocate. L’heure n’est plus à la théorie, mais au concret.

 

GDPR : LA NORME ISO 27001 PEUT VOUS AIDER

 

ACCÉLÉREZ VOTRE MISE EN CONFORMITÉ !

Cognizant accompagne les entreprises dans leur mise en conformité réglementaire tant d’un point de vue stratégique qu’opérationnel. Avec nos spécialistes sectoriels et fonctionnels nous réalisons des audits, identifions les éléments déjà en place dans votre organisation et vous aidons à la mutualiser pour accélérer vos projets GDPR.

Contactez-nous pour plus d’informations

 


LE PROGRAMME DE « GDPR : TRAVAUX PRATIQUES »


Du 19 janvier au 16 mars 2018, nous avons organisé 5 sessions de travail au cours desquelles nous avons traité un point précis du nouveau règlement et toutes les questions d’organisation qu’il induit. Ce format atypique de petits-déjeuners a permis aux participants d’échanger librement entre confrères tout en bénéficiant de l’appui technique et de la connaissance terrain de nos experts. Retours d’expériences, conseils et échanges de bonnes pratiques : pour Cognizant, la GDPR est la pierre angulaire de la transformation numérique.

  • Le vendredi 19 janvier de 8h30 à 10h30
    Les fondamentaux : registres & PIA

    Les fondamentaux : registres & PIA

    La GDPR a pour objectif prioritaire de protéger les données à caractère personnel des citoyens européens. Première pierre à l’édifice : elle demande aux entreprises d’établir des registres de traitement. Il s’agit d’une cartographie des données traitées par les différents services et classées par catégories. A chaque finalité correspond une ou plusieurs catégories de données et une durée de conservation (pour quelle raison ont-elles été collectées ?) et une durée de conservation.

    Or, sur le terrain, nous observons que pour tenir ces registres, il ne suffit pas de télécharger le tableau Excel mis à disposition par la Cnil puis de le faire circuler en interne… La mise en œuvre est compliquée, d’autant que la plupart des données se trouvent à cheval sur plusieurs catégories.

    Les registres représentent un travail colossal. Mais, bonne nouvelle, ils s’appuient avant tout sur le bon sens. Il faut accepter d’y consacrer du temps : celui d’analyser vos pratiques avec le recul attendu par les autorités.

    Autre pilier du GDPR, les « PIA » ou études d’impact. A chaque fois que vous mettez en place un nouveau traitement de données, il faut vous interroger sur l’impact qu’il peut avoir sur la vie privée des personnes concernées. L’important est d’intégrer la réalité des métiers : par exemple, est-ce que vos collaborateurs voyagent beaucoup en TGV ? Si oui, leur écran d’ordinateur portable est-il équipé d’un filtre de confidentialité ? Est-il protégé par un code, en cas de vol ? La GDPR, c’est ça : pouvoir montrer que vous avez mené une réflexion sur votre travail pour en limiter les risques.

    Quelques questions auxquelles nous répondrons :
    • Comment créer des catégories de données pertinentes ? Existe-t-il une base valable pour toute entreprise ? Dans quelle mesure faut-il la personnaliser ? Sur quels critères s’appuyer ? Comment tester la pertinence de vos catégories ?
    • Quel est le fondement légal de la collecte ? On entend beaucoup parler de consentement, mais les données des salariés, par exemple, ne reposent pas sur ce socle-là. Un exemple : Combien de temps faut-il conserver les horaires des collaborateurs qui badgent ? La réponse : 5 ans. Car en cas de procédure devant les prud’hommes, le collaborateur pourra demander jusqu’à 5 ans d’heures supplémentaires. La réponse n’est pas dans la GDPR… Il faut aller la chercher dans d’autres textes de loi.
    • Dans quels cas devez-vous mener un PIA? Connaissez-vous les 10 critères vous permettant d’en décider ?
    • PIA : Y a-t-il un effet rétroactif sur les traitements de données lancés avant l’entrée en vigueur du GDPR, mais toujours en cours ? 

     

  • Le vendredi 2 février de 8h30 à 10h30
    Minimisation & Rétention des données à caractère personnel

    Minimisation & Rétention des données à caractère personnel

    Imaginez que vous soyez un constructeur automobile. Vous proposez à vos clients d’essayer vos véhicules neufs et dans cette optique, vous leur demandez leur permis de conduire. Combien de temps après le test pouvez-vous garder ces données-là ? Elles ont plusieurs finalités, qui intéressent autant la direction commerciale que le marketing, pour relancer les prospects, ou encore le service juridique : si le client qui teste la voiture s’est fait flasher, il faudra en conserver les preuves après le jour J : a priori un an, soit le temps moyen de traitement des infractions en France.

    On le comprend, chaque cas est unique. La GDPR amène ces trois grands principes :

    • Vous n’avez le droit de traiter les données personnelles que pour une ou des finalités bien définies, pour lesquelles la personne est prévenue. Attention à ne pas confondre finalité et fonctionnalité ! Par exemple, la segmentation marketing est une fonctionnalité, qui répond à la finalité de prospection commerciale.
    • Vous ne pouvez utiliser que les données nécessaires et suffisantes. Pour reprendre notre exemple ci-dessus, il n’y aucune raison de demander au conducteur s’il est marié, ou de conserver les autres informations qu’il vous livrera pendant la conversation.
    • Vous ne devez les garder que pendant une durée strictement définie et justifiée. On l’a vu plus haut, une « durée raisonnable », cela ne veut strictement rien dire pour les Métiers ou l’IT. Mais vous devez être capable, en cas d’audit de la Cnil, de justifier vos choix. Il faut en finir avec la démarche consistant à tout collecter et tout garder au motif qu’on « ne sait jamais, ça peut servir ».

     

    Quelques questions auxquelles nous répondrons :
    • Certaines données répondent à deux finalités distinctes, avec des durées de rétention différentes : comment ferez-vous techniquement pour supprimer ce qu’il faut et au bon moment ? Si l’on partait d’une feuille blanche, ce serait plus simple, mais c’est rarement le cas en entreprise…
    • Comment prendre en compte les besoins Métiers, souvent divergents ?
    • Quelles finalités sont recevables aux yeux de la Cnil ?

     

  • Le vendredi 16 février de 8h30 à 10h30
    Sécurité :  A quelles exigences GDPR ai-je déjà répondu si je suis ISO 27001 ?

    Sécurité :  A quelles exigences GDPR ai-je déjà répondu si je suis ISO 27001 ?

    Chers DPO, auriez-vous sans le savoir un peu d’avance sur la GDPR ? Tout un pan du nouveau texte relève en effet directement de la sécurité. Or la norme ISO/CEI 27001:2013, la référence en la matière, recoupe sur bien des points le règlement européen.

    Son pendant sous forme de guide de bonnes pratiques (ISO/CEI 27002) est très utile à l’implémentation.

    Si votre entreprise respecte déjà ce standard et gère les risques relatifs à ses données en s’appuyant sur l’ISO 27005 (analyse de risques, gestion de risques et mesures de sécurité au quotidien) ou la méthode EBIOS (créée par l’ANSSI à partir de la 27005), elle vous a mâché le travail.

    Julie Gommes, experte Cybersécurité pour Cognizant France vous en dira plus lors ce troisième petit-déjeuner.

  • Le vendredi 2 mars de 8h30 à 10h30
    Droit d’accès & portabilité

    Droit d’accès & portabilité

    La portabilité des données est l’une des grandes nouveautés du GDPR. Le règlement s’inscrit nettement en faveur des consommateurs, qui ont désormais la possibilité de demander à chaque entreprise disposant de données sur leur compte, de les leur fournir dans un format lisible par une machine : un standard commun de type Excel.

    Les entreprises ont aussi l’obligation d’indiquer au client comment elles ont obtenu les données qui le concernent : était-ce en lui posant la question directement, via un formulaire en magasin ? Par l’intermédiaire d’une de leurs filiales ? En achetant des données tierces ? En suivant sa navigation sur le site Internet de la marque ? Etc

    Quelques questions auxquelles nous répondrons :
    • Comment transcrire un format de données SI (listes de valeurs numérotées 1, 2, 3, ou codes spécifiques à l’entreprise) en un format compréhensible par l’utilisateur ?
    • Jusqu’a quelle profondeur faut-il aller pour répondre à la demande du client ?
    • L’entreprise est-elle déjà, elle-même, capable de sourcer l’historique des données en sa possession ?
    • Avez-vous pensé aux questions de sécurité que soulève la portabilité des données ? Veillez à bien vérifier l’identité de la personne qui vous demande à récupérer des données personnelles !

     

  • Le vendredi 16 mars de 8h30 à 10h30
    Vrai / Faux opt-in

    Vrai / Faux opt-in

    Attention aux raccourcis, qui mènent généralement à l’erreur. On entend beaucoup d’assertions définitives au sujet du GDPR, comme « Il faut obtenir un consentement pour tout » (en fait, non), « C’est la fin des cookies » (c’est plus compliqué que ça), « Une newsletter, ce n’est pas du marketing » (si)…

    Durant cette cinquième matinée, nous nous pencherons sur l’ancien opt-in et le nouveau consentement. Ainsi que sur les nouveaux canaux, comme le chatbot ou l’assistant vocal, qui soulèvent des questions inédites sur le sujet. Nous évoquerons aussi la future réglementation ePrivacy, attendue pour 2018.

     


Animation


Technology Consulting Head and Data Privacy Subject Matter Expert Cognizant France

BIOGRAPHY

Catherine Dardelet

Technology Consulting Head and Data Privacy Subject Matter Expert Cognizant France

Catherine Dardelet a rejoint Cognizant en 2012 pour prendre la responsabilité du pôle « Analytics & Information Management » et est à présent dédiée aux sujets Data & Digital en tant que responsable de l'équipe d'experts Technology consulting chez Cognizant France. La protection et la législation des données personnelles dans les systèmes d'informations (et plus particulièrement les CRM) est un sujet qu'elle maîtrise depuis plus de 10 ans, c'est donc tout naturellement qu'elle assure le lead sur ce sujet pour la France et est partie prenante dans l'équipe GDPR pour Cognizant Europe. Catherine cumule plus de 25 années d’expérience dans la mise en œuvre de solution IT et de gestion de programmes, que cela soit dans les métiers de la banque, grande distribution, CPG, services ou industries, avec une expertise dédiée et reconnue sur les domaines de la « Data » sous toutes ses formes : gouvernance, analyse, qualité, législation… En parallèle de ses activités professionnelles Catherine est également enseignante au sein de l’université Paris II, sur le CRM incluant les Données personnelles.


Court Attorney

BIOGRAPHY

Sandra Azria

Avocate à la Cour

Après avoir débuté sa carrière en tant que juriste au sein d’une SSI et d’un éditeur de logiciels, Sandra Azria a exercé en cabinet d’avocats. Elle a créé son propre cabinet en 2005 dédié aux Contrats et Nouvelles technologies. Elle a développé en 20 ans d’expérience professionnelle une expertise en droit de la donnée et fait partie des 10 avocats en France ayant obtenu une certification du Conseil de l’Europe sur la RGPD. Elle exerce également en qualité de CIL/DPO externalisé et fait partie des réseaux AFCDP (Association française des correspondants aux données personnelles) et IAPP (international association of privacy professionnals). Ses clients interviennent entre autres dans les secteurs des médias, des services, du luxe, de la communication, de la santé et des télécoms. En parallèle de ses activités professionnelles, Sandra est enseignante au sein de l’université Paris II et au sein d’incubateurs (Centrale Paris, ENSAM).

Par deux expertes de la protection des données d’un point de vue métier, technologique et légal

CONTACTEZ-NOUS

S'il vous plaît entrez votre nom
S'il vous plaît entrer votre adresse e-mail
S'il vous plaît entrez le nom de votre enterprise
S'il vous plaît entrer le numéro de téléphone
S'il vous plaît sélectionner une région
S'il vous plaît entrer l'objet de la requête
S'il vous plaît entrer le type de sous-requête

Merci de votre intérêt pour Cognizant.

Nous vous répondrons dans les meilleurs délais.